XssSniper

Extension Delisted

This extension is no longer available in the official store. Delisted on 2025-09-17.

CRX ID
pnhekakhikkhloodcedfcmfpjddcagpi
Status
Minor Policy Violation Removed Long Ago No Privacy Policy
Description from extension meta

Find XSS and SOME

Image from store
XssSniper
Description from store

XssSniper是一款为安全人员设计的发现XSS漏洞的工具。可以帮助安全人员发现隐藏于网页中的DomXSS、反射式XSS、JONP XSS以及SOME漏洞。
本扩展主要采用了两种方法去检测DOMXSS。
第一种方法:FUZZ
这种检测方法误报率非常低,只要是检测出来的一定都是都是存在漏洞的。但是代价是漏报率也比较高。 具体来说是在当前页面中创建一个隐形的iframe,在这个iframe中采用不同字符组合截断的payload去fuzz当前页面中的每个url参数,以及location.hash参数。如果payload执行,说明漏洞一定存在。
第二种方法:监控js错误变化
如果xss存在方式比较隐蔽,或者需要非常复杂的字符组合来截断的话,payload是无法正常执行的,然而尽管如此,payload可能会引发一些js语法异常,扩展只需要检测这些异常就可以。然后提示用户错误位置,错误内容,错误的行数,让用户手工去 因此以这种方式检测XSS,漏报少,但是代价是误报较高。
两种检测方式相互结合,取长补短。
更多图文介绍,请见:http://0kee.360.cn/domXss/

Latest reviews

韩柏柏 2019-12-27

赞👍

张续腾 2017-08-31

哇偶 振奋人心的时刻到了~ 顶一个

Robert L 2017-07-18

为什么在测试地址后加#再插payload的?有些没#可以直接触发的情况都变不行了。

Gabrielle Rain 2016-10-02

先去试试了,4分!

孙启鹏 2015-09-12

360的良心之作,赞一个!

Statistics

Installs
2,090
Market
Chrome Web Store
Category
11_web_development
Rating
4.22 (9 votes)
Last update
2015-09-28
Version 1.1.37
Languages
zh-CN